Windows命令行配置防火墙规则详解

本文深入解析了Windows系统中如何通过netsh advfirewall命令行工具高效、精准地管理高级安全防火墙规则，涵盖添加出站阻止规则以禁用程序联网、配置入站端口允许规则以安全开放服务、动态修改规则动作实现快速策略切换、安全删除冗余规则，以及批量导出与还原完整配置以保障策略一致性与可迁移性——无论您是系统管理员、安全运维人员还是技术爱好者，掌握这些实操技巧都能让您在无图形界面或批量部署场景下，游刃有余地实现精细化网络访问控制。

如果您需要在Windows系统中通过命令行精细控制网络访问权限，则可利用netsh advfirewall命令直接操作高级安全防火墙规则。以下是实现添加、删除、修改及验证防火墙规则的具体操作步骤：

一、添加出站程序阻止规则

该方法用于禁止指定应用程序向外发起网络连接，适用于管控后台程序联网行为。规则作用于出站方向，不干扰其他程序或入站通信。

1、以管理员身份运行PowerShell或命令提示符。

2、执行以下命令（请将C:\Path\To\YourApp.exe替换为实际程序的绝对路径）：
netsh advfirewall firewall add rule name="BlockAppOut" dir=out action=block program="C:\Path\To\YourApp.exe"

3、若需同时禁用域、专用、公用三种配置文件，可追加enable=yes参数并确认规则已启用。

二、添加入站端口允许规则

该方法用于开放特定端口接收外部连接，例如启用本地Web服务或远程管理端口。规则限定协议与端口号，最小化暴露面。

1、以管理员身份打开命令行工具。

2、输入命令开放TCP 8080端口（仅限IPv4）：
netsh advfirewall firewall add rule name="AllowHTTP8080" dir=in action=allow protocol=TCP localport=8080

3、如需限制访问源IP，可附加remoteip=192.168.1.0/24参数，仅允许局域网内设备访问。

三、修改现有规则动作

该方法用于快速切换规则状态，无需删除重建，适用于临时放行或紧急封禁场景。操作对象为已命名规则，依赖名称唯一性。

1、确认目标规则名称，可通过netsh advfirewall firewall show rule name="RuleName"验证是否存在。

2、将名为“BlockAppOut”的规则由阻止改为允许：
netsh advfirewall firewall set rule name="BlockAppOut" new action=allow

3、如需禁用规则但保留配置，使用new enable=no替代action参数。

四、删除指定名称的防火墙规则

该方法用于彻底移除不再需要的规则条目，释放规则命名空间并避免策略冲突。删除后无法恢复，需谨慎核对名称。

1、在管理员命令行中执行：
netsh advfirewall firewall delete rule name="BlockAppOut"

2、若存在多个同名规则，系统将全部删除；建议命名时加入时间戳或用途标识，例如"BlockAppOut_20260320"。

3、删除后可用netsh advfirewall firewall show rule name=all确认列表中已无该条目。

五、批量导出与还原防火墙规则

该方法用于跨设备同步策略或备份当前配置，导出结果为可读文本脚本，支持离线审查与重部署。

1、导出全部防火墙规则到当前目录的firewall_backup.txt：
netsh advfirewall firewall dump > firewall_backup.txt

2、在目标机器上以管理员权限执行以下命令还原：
netsh exec firewall_backup.txt

3、注意：还原操作会覆盖目标机现有规则，请提前备份原配置。

今天关于《Windows命令行配置防火墙规则详解》的内容就介绍到这里了，是不是学起来一目了然！想要了解更多关于的内容请关注golang学习网公众号！